Entiendo que Nonce es para prevenir el ataque de repetición. Puedo saber cuándo el servidor te envió por primera vez. ¿Entonces el cliente tiene que proceder a +1 el nonce enviado por el servidor? ¿Es este siempre el caso?
¿Nonce también se compone de marca de tiempo + aleatoria?
Los nonces se utilizan en una variedad de casos de uso. El comportamiento exacto con respecto a un nonce depende del caso de uso exacto, pero todos los casos de uso comparten que un nonce solo debe usarse una vez dentro de un contexto específico. Esto podría lograrse utilizando números aleatorios verdaderos, pero dependiendo del caso de uso exacto, también podría ser suficiente usar un contador simple o una marca de tiempo para obtener un valor único dentro de un contexto específico.
No tengo conocimiento de ningún caso de uso en el que se use el comportamiento que usted describe, es decir, donde el cliente usa el server_sent_nonce+1 . Dado que el nonce es único en primer lugar, tal operación no debería ser necesaria. Pero tampoco debería dañar si se aplica de manera consistente, ya que server_sent_nonce+1 es en realidad el nuevo nonce que también es único.
Lea otras preguntas en las etiquetas nonce replay-detection